Auditoria LOPD: he de fer-la?

L’obligació de realitzar una auditoria LOPD per comprovar la correcta implementació de les mesures de seguretat aplicades a les dades personals no és obligatòria per a totes aquelles empreses o professionals que tractin aquestes dades.

La normativa actual de protecció de dades, exigeix la realització d’una auditoria cada dos anys, únicament per a aquelles empreses o professionals que tractin dades personals de tipus mig o alt.

Quines dades són de nivell mig o alt?

L’article 80 del Reial decret 1720/2007, de desenvolupament de la LOPD realitza una classificació dels nivells de seguretat aplicables a les dades personals, diferenciant entre les de nivell bàsic, mig i alt. Únicament aquelles empreses que tractin dades de nivell mitjà o alt hauran de procedir a realitzar l’auditoria.

Les dades de nivell mig que majoritàriament poden emmagatzemar i tractar les empreses són les relatives a morositat i aquelles que permetin configurar un definició de la personalitat dels ciutadans. Aquest segon cas no està exempt de conflicte ja que hi ha certes dades que les empreses poden recaptar habitualment i que permetin configurar aquests trets, per exemple els currículums de candidats o aquella informació que se sol·liciti en un procés de contractació laboral. Un altre supòsit és el de creació de perfils que moltes pàgines web poden realitzar dels seus compradors.

En aquest sentit resulta destacable l’Informe 487/2009 de l’AEPD quan estableix que la previsió d’aplicar mesures de seguretat mig a dades que permeten configurar un perfil de personalitat dels ciutadans està previst per a aquella informació a través de la qual es poden conèixer dades relatives a la seva situació familiar o econòmica, així com els seus hàbits de compra. En aquest mateix informe, l’AEPD indica que si es recullen dades que permetin configurar un perfil psicològic del ciutadà, hauran d’aplicar-se mesurades de nivell alt.

A més de les dades ja indicades, qualsevol informació relacionada amb la salut de les persones, haurà d’aplicar les mesures de nivell alt. Per dada de salut ha d’entendre’s “les informacions concernents a la salut passada, present i futura, física o mental, d’un individu“. Aquest tipus de dades no són les úniques que han d’aplicar el nivell alt, però si el que més habitualment poden tractar les empreses.

En què consisteix l’auditoria LOPD?

El procés d’auditoria, exigit per l’article 96 del Reial Decret 1720/2007, es concreta en la necessitat de comprovar si les mesures de seguretat que s’apliquen als fitxers amb dades personals, estan o no adequades a les indicades en el propi Reial Decret. A més l’auditoria tindrà les següents característiques bàsiques:

• Caldrà en primer lloc, identificar els fitxers amb dades personals, analitzant els recursos (programes, equips i suports) on es tracten aquestes dades. També haurà d’incloure els arxivadors o llocs on s’allotgin dades en paper.
• Seguidament, ha de concretar-se el nivell de seguretat aplicable a cada recurs: mig o alt.
• A continuació, analitzar les mesures de seguretat aplicades i detectar deficiències.
• Finalment, es realitzarà un informe d’auditoria on es detallin les tasques realitzades, juntament amb les proves documentals pertinents, així com el llistat de deficiències atorgant un termini específic per a la seva correcció.

Malgrat que la obligació d’auditoria afecta únicament a les mesures de seguretat, resulta recomanable que en aquest procés es revisi el compliment d’altres obligacions en matèria de protecció de dades: clàusules informatives i de consentiment, contractes amb proveïdors o la formació al personal.

Qui ha de realitzar l’auditoria LOPD?

El Reial Decret 1720/2007 no especifica ni el perfil de professional per realitzar l’auditoria ni si el mateix ha de tenir alguna qualificació especial. Simplement indica que l’auditoria serà interna o externa. En qualsevol cas haurà de realitzar algun professional o grup de professionals, interns o externs, amb coneixements de la LOPD i el Reial Decret 1720/2007, i amb un perfil jurídic-tècnic suficient per analitzar les mesures de seguretat implementades així com la seva adequació o no a la normativa vigent. Resulta també recomanable que el citat professional acrediti un nivell de coneixement previ a través d’algun sistema de certificació en protecció de dades per alguna entitat externa i independent.

Quant temps ha de conservar-se l’informe d’auditoria?

L’Informe de l’AEPD 191/2010, estableix l’obligació de conservar els informes d’auditoria per un període de 2 anys.

Finalment recordar que l’AEPD en la seva Guia de Seguretat publicada fa un temps, va incloure un resum de les comprovacions a realitzar durant una auditoria. Aquesta pot ser una bona base però no pot obviar el paper d’una comprovació personalitzada i in situ d’un professional amb les característiques indicades anteriorment.

Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!